domingo, septiembre 05, 2010

Distribución de Malware con Twitter Bots

Después de ver tantas cosas ya en este mundo, procuro ir con mucho cuidado por Internet, a veces, con más miedo que vergüenza, cuando alguien me pregunta ¿por qué tienes deshabilitada la webcam y la llevas tapada con un papel?. Y es que, después de ver lo que les pasó a los chicos de Apache por seguir un enlace y de que periódicamente aparezcan bugs como el 0-day de QuickTime que publicó Rubén Santamarta, hay que ir con mucho cuidado.

Ya os contaba como nos sorprendió ver que casi nadie usaba su ordenador en las conferencias Black Hat y Defcon, pero es que, el año que viene, después de que este se grabaran en una conferencia las conversaciones de los móviles, estoy convencido de que el uso del teléfono móvil va a caer en picado.

Algo similar sucede con los acortadores de URLs y los riesgos asociados a ellos. Como decía una tira simulando a Forrest Gump :"La vida es como una URL acortada, nunca sabes a donde te va a llevar". Y es así.

Hay que empezar a preocuparse en serio por los servicios de acortadores de URL y ya se están tomando muchas precauciones, pero lo primero que están haciendo muchos usuarios, es dejar de seguir los que no vengan de "procedencias de fiar" (- ¡Qué difícil es eso! -)

Sin emabargo, la idiosincracia de los 140 caracteres de twitter, hace que haya que utilizarlos sí o sí, con lo que suelen pasar más desapercidibidos aquellos que son maliciosos. Por ello, se aprovechan de esta característica los distribuidores de malware y los usan con tranquilidad.

Además, el desplegar malware por twitter tiene una ventaja genial, y es que si ves que alguien acaba de twittear, el servicio identifia desde que software se ha hecho, así que es fácil hacer ataques dirigidos a una determinada persona. Sólo tienes que esperar a que ponga un twitt, lees debajo del mensaje la información de la herramienta cliente que ha usado, y le preparas un mensaje con una URL acortada que lleve un exploit para algún software que se sepa que está utilizando.

Un ejemplo sencillo son aquellos usuarios que han hecho jaibreak al dispositivo iPad o iPhone con el Jailbreakme de Agosto. Muchos de ellos no han actualizado a la versión de IOS 4.0.2 por miedo a perder el Jailbreak, pero tampoco han parcheado la vulnerabilidad de Safari con el visor PDF de forma puntual. Un atacante, por tanto, puede crear un bot que busque el nombre del usuario, o un término, o cualqier cosa. Esperar a que salga un nuevo twitt, leer la herramienta usada para saber desde que sistema está conectado y enviarle una contestación con una URL acortada que lleve al exploit.

Así, están apareciendo muchísimas cuentas bot, que se dedican a twittear a saco, como este tal Melony de aquí, que tiene 4 seguidores, sigue a 0 y ha twitteado casi 1.000 mensajes, todos ellos con personas distintas, con tiempos supercortos, y con ninguna relación entre ellos.


Figura 1: Cuenta de Bot

Por supuesto, es un bot distribuyendo malware, que debes reportar como spam, para que lo investiguen y lo bloqueen.


Figura 2: Reporte como Spam

Al cabo del tiempo la cuenta será bloqueada, como este otro caso, pero, desde que crearse cuentas en el servicio es tan fácil, estas medidas son bastante poco efectivas por el momento, y puede convertirse en un caos si el número de bots crece y crece.


Figura 3: Cuenta bloqueada en Twitter

Twitter ha anunciado su propio acortador de URLs, y tal vez sea una buena opción si ellos se precoupan del filtrado de las mismas y no dejan añadir otro tipo de acortadores, pero mientras no suceda esto, hay que tener un cuidado extremo con las URLs acortadas que sigues, y, si es posible, intentar que no se sepa desde dónde twitteas, para evitar ataques dirigidos, con lo que habrá que pensar en usar deception tricks para cambiar las apps de tus twitts.

Saludos Malignos!

2 comentarios:

  1. "Ahi que empezar a preocuparse en serio..."
    Será
    "Hay que empezar a preocuparse en serio..." no?jejeje

    Postear un domigo por la mañana (probablemente con su asociada resaca) es siempre sinónimo de Fail... :)

    ResponderEliminar
  2. @Fixed Patxi, que los correctores automáticos me la juegan. Gracias!!

    ResponderEliminar